E-Mail Missbrauch --> phishing

promillo

Semiprofi
Thread Starter
Mitglied seit
09.01.2007
Beiträge
3.786
Servus!

Habe ein nettes Phishing an die bei Euch hinterlegte E-Mail Adresse caseking@meinedomain.de erhalten inkl. Vor/Nachname:



Könnt Ihr hier Licht ins dunkel bringen? Die E-Mail Adresse wird dank catchall nur bei Euch im Shop verwendet, evtl. ein Datenleck?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallo Promillo,

eine E-Mail-Adresse besteht aus einem lokalen Part vor dem @-Zeichen und einem Domain-Part dahinter. Phishing-Attacken werden dabei massenhaft auf bestimmte Domains gestartet und zielen also auf den von dir hier geheimgehaltenen und mir deshalb unbekannten E-Mail-Provider, z.B. Google, GMX oder Web.de mit den jeweiligen Domainnamen. Alles, was vor dem @-Zeichen steht, wird wie beim Passwort-Hacking auch (ähnlich der Brute-Force-Methode) ganz einfach durch sogenannte Wörterbuchattacken automatisch generiert. Dabei werden einfach alle möglichen Begriffe, Wörter, Namen und somit auch Marken- oder Firmennamen massenhaft und blind als local-part der Mail-Adresse verwendet und darunter war eben schließlich auch deine speziell für uns eingerichtete E-Mail-Adresse. Mit uns hat das also rein gar nichts zu tun und es gibt bei uns auch keinerlei Datenleck. Die Wahrscheinlichkeit, dass irgendjemand z.B. "blumentopf@googlemail.com" als Mail-Adresse verwendet, ist einfach relativ hoch und als Spam-******** könnte ich einfach mal eine Phishing-Mail dahin senden. Ein möglicher, völlig argloser Blumentopf-Online-Shop, für den der Besitzer dieser E-Mail-Adresse selbige extra angelegt hat, wird sich dann vermutlich auch wundern, aber der Blumentopf-Laden wäre ebenfalls unschuldig. ^^ Vermutlich haben an dem Tag neben dir auch noch tausende andere Nutzer deines E-Mail-Providers ähnliche Phishing-Mails bekommen, das kann man also soweit als "normal" bezeichnen. Was hingegen nicht normal ist, ist die Tatsache, dass der Spam-Filter deines Providers augenscheinlich nicht in der Lage war den Spam zu erkennen und entsprechend zu blocken. Ansonsten würde auch eine total verrückte Mail-Adresse wie "kewflwefwenfusfejkjsfn@web.de" irgendwann vermutlich mal eine Phishing-Mail abbekommen, auch wenn sie einfach nirgendwo verwendet wurde, eben als blinder Treffer.

Liebe Grüße,
Mike
 
Zuletzt bearbeitet:
Hallo Mike,

danke für Deine schnelle Antwort.

Was mich jedoch verwundert, dass mein vollständiger Name in Kombination mit meiner Domain, die ich dir auf Wunsch gerne per PN zukommen lasse, in einer Wörtbuchattacke vorkommen soll. Diese Wahrscheinlichkeit geht wohl eher gegen null.

Grüße!

PS: Ein Spam Filter existiert absichtlich nicht, da diese Domain sehr gezielt nur Verwendung findet.
 
Bist du sicher, dass du die Adresse selber nirgendwo verwendet hast oder sie irgendwo abgefangen worden sein könnte in Verbindung mit deinem Namen? Im Grunde reicht schon ein Virenbefall deines Rechners aus oder eine unsichere, unverschlüsselte Datenverbindung. Ebenso ist es recht gefährlich den Spam-Filter komplett abzuschalten. Hast du vielleicht bei dem verwendeten Provider selber deinen Namen eingetragen? Du kannst mir ja mal die Mail-Adresse per PM schicken. (Theoretisch wäre aber auch das z.B. wieder eine Möglichkeit zum Abfangen der Daten über die Forendatenbank usw.)
 
Die Adresse wurde nur bei Euch verwendet, wie jeder andere Shop seine eigene E-Mail Adresse bekommt. Aber Du hast Recht, es reicht im Prinzip schon wenn ein kompromittierter Mailserver in der Kette z.B. die Bestellbestätigung abfängt.

Was du mir erklären musst warum soll es gefährlich sein den Spam-Filter abzuschalten?

PM folgt jedoch nur mit der E-Mail Adresse, den Namen kannst du dann über Eure Datenbank heraus filtern ;-)
 
Okay, danke für die PM. Ich vermute mal, dass es sich dem Domain-Namen nach zu urteilen um einen privaten Mail-Server handelt und keinen Provider, richtig? Ich werde diese Meldung nun zur Überprüfung an unsere IT-Abteilung weiterleiten.

Spam-Filter zu deaktivieren ist eben aufgrund von Phishing- oder Viren-Gefahr generell gefährlich. Ich denke mal, dass man dieser Aussage generell zustimmen kann ^^ und vermute weiterhin, dass du es einfach selber aktiv kontrollieren möchtest und dir selber zutraust, solche Gefahren korrekt einzuschätzen. Allerdings kommen damit eben ggf. Viren-Mails einen Schritt weiter und bis in deinen Mail-Client.

Liebe Grüße,
Mike
 
Deine Mailadresse benutzt als local-part den Klarnamen des Shops (caseking). Bekannte Shops stehen leider auf Listen der Spam/Phishing-Anbieter, welche dann Empfänger generieren. Dafür spricht aus das du bei einer "Shop" Emailadresse eine Phishing Mail von einem Shop bekommst, auch wenn es mit amazon der falsche ist.
Weiterhin solltest du im Mailheader mal prüfen ob die Mail wirklich explizit an deine caseking@xxxxx Adresse adressiert war, oder ob man die Empfängeradresse gefälscht hat, wofür dein catchall ja leider anfällig ist
 
Ich habe ebenfalls heute die gleiche Mail an meine Mailadresse caseking@.. geschickt bekommen. Der Mailserver ist ebenfalls mein eigener. Es ist sehr unwahrscheinlich, dass es eine Wörterbuch-Attacke war. Dann würde ich auch über andere meiner seitenspezifischen Adressen (amazon@.., ebay@.., dropbox@.., google@..; Alles sehr viel bekanntere Seiten) Spam empfangen und nicht nur bei der für Caseking. Das schöne bei solchen Adressen ist eben, dass man weiß, auf welcher Seite Daten abhanden kommen (bzw verkauft werden, was ich Euch nicht vorwerfe).

Mit freundlichen Grüßen

Edit:

Der Header der Mail ist übrigens
Code:
Return-Path: <service@amazon.de>
Delivered-To: <jan@bla.de>
Received: from mail.bla.de
	by bla.de (Dovecot) with LMTP id IypGGaKoS1UjPQAAten8jw
	for <jan@bla.de>; Thu, 07 May 2015 20:02:10 +0200
Received: from smtp.carrier2carrier.com (smtp.carrier2carrier.com [89.21.160.35])
	by mail.bla.de (Postfix) with ESMTPS id 5C78E11A9F6
	for <caseking@bla.de>; Thu,  7 May 2015 20:02:10 +0200 (CEST)
Received: from wagenaar-wegbebakening.nl (unknown [213.187.152.50])
	by smtp.carrier2carrier.com (Postfix) with ESMTP id 820F253E33
	for <caseking@bla.de>; Thu,  7 May 2015 19:41:15 +0200 (CEST)
Received: from [5.45.179.234] ([5.45.179.234]) by wagenaar-wegbebakening.nl with Microsoft SMTPSVC(6.0.3790.4675);
	 Thu, 7 May 2015 20:02:08 +0200
Message-Id: <65oMy402SHSE4STjsx5rvxCxPIuKmME1c3NbPg96an1d@amazon.de>
Mime-Version: 1.0
From: service@amazon.de
To: =?iso-8859-1?Q?"Jan_Bla"?= <caseking@bla.de>
Subject: =?iso-8859-1?Q?Jan_Bla_aus_Sicherheitsgr=FCnden_ist_eine_Verifizierung_notwendig?=
Date: Thu, 7 May 2015 11:53:22 -0700
X-Bounce-Tracking-Info: <SmFuCUJsYQkJY2FzZWtpbmdAYmxhLmRlCVtGaXJzdG5hbWVdIFtTdXJuYW1lXSBhdXMgU2ljaGVyaGVpdHNncsO8bmRlbiBpc3QgZWluZSBWZXJpZml6aWVydW5nIG5vdHdlbmRpZwkxOQkJMTk1ODgzCWJvdW5jZQlubwlubw==>
Content-type: multipart/alternative; Boundary="--=BOUNDARY_571153_CTVC_UBPD_QORI_WISJ"
X-OriginalArrivalTime: 07 May 2015 18:02:10.0055 (UTC) FILETIME=[F01A2170:01D088EF]
 
Zuletzt bearbeitet:
Muss meine Ausführung revidieren, habe ebenfall diese Mail heute bekommen auf die Adresse die ich für Caseking verwende (allerdings nicht nur Caseking, sondern alle Hardwareshops)
 
Habe auch diese Mail bekommen, jedoch benutze ich die mailadresse für alles mögliche und nicht nur, um bei euch zu bestellen. Nur zur Info :)
 
Habe das Problem auch. Mails mit meinem richtigen Namen, angeblich von PayPal und Amazon.

Ein Erraten der Adresse kann ich ausschließen:
- Es wurde der korrekte Name benutzt, obwohl dieser nicht veröffentlicht wurde (unter der Domain ist keine Website geschaltet und auch im Whois ist er nicht ersichtlich).
- Zusätzlich zum Händlernamen ist vor dem @ ein praktisch nicht zu erratender Code enthalten (Catchall benutze ich nicht).
 
Hi,

ich habe leider auch eine Phishing-E-Mail an meine caseking@domain Adresse bekommen. Auch mit richtigem Namen.
Bei mir kam sie am 04.05.2015, vorgeblich von PayPal.
 
Hallo Leute,

wir sind dabei die Sache zu prüfen und werden uns bald dazu äußern.

Liebe Grüße,
Mike
 
Ich habe sie auch bekommen.

Es kam übrings in den Nachrichten, dass zurzeit vermehrt PP&Ama Mails im Umlauf sind.
 
Ich habe die Mail (heute 14:26) auch bekommen. AUch an eine Mailadresse, die ich ausschließlich für Einkäufe bei euch verwendet habe (aus den oben bereits benannten Gründen: Ich will wissen, wo es ein Leck gab). Bei mir kommt allerdings "caseking" im Namen vor. Bin übrigens bei einem kommerziellen Anbieter.

Return-Path: <service@amazon.de>
Received: from compute5.internal (compute5.nyi.internal [10.202.2.45])
by sloti23t12 (Cyrus 3.0-git-fastmail-11283) with LMTPA;
Sat, 09 May 2015 07:35:35 -0400
X-Sieve: CMU Sieve 2.4
X-Spam-score: 4.2
X-Spam-hits: BAYES_00 -1.9, DCC_CHECK 1.1, HTML_IMAGE_ONLY_28 1.404, HTML_MESSAGE 0.001,
NORMAL_HTTP_TO_IP 0.001, RCVD_IN_BRBL_LASTEXT 1.449, RCVD_IN_SBL 0.141,
SPF_FAIL 0.001, T_REMOTE_IMAGE 0.01, URIBL_INVALUEMENT 2, LANGUAGES de,
BAYES_USED user, SA_VERSION 3.3.2
X-Spam-source: IP='213.180.72.12', Host='de-1886.d.ipeer.se', Country='SE',
FromHeader='de', MailFrom='de'
X-Spam-charsets: subject='iso-8859-1', plain='iso-8859-1', html='iso-8859-1'
X-Resolved-to: XXX@xxx.fm
X-Delivered-to: XXX@xxx.fm
X-Mail-from: service@amazon.de
Received: from mx3 ([10.202.2.202])
by compute5.internal (LMTPProxy); Sat, 09 May 2015 07:35:35 -0400
Received: from mx3.messagingengine.com (localhost [127.0.0.1])
by mx3.nyi.internal (Postfix) with ESMTP id 03C4DC0035
for <XXX@xxx.fm>; Sat, 9 May 2015 07:35:35 -0400 (EDT)
Received: from mx3.nyi.internal (localhost [127.0.0.1])
by mx3.messagingengine.com (Authentication Milter) with ESMTP
id D0DF41E64B4.801EDC002A;
Sat, 9 May 2015 07:35:35 -0400
Authentication-Results: mx3.messagingengine.com;
dkim=none (no signatures found);
dmarc=fail (p=quarantine) header.from=amazon.de;
spf=fail smtp.mailfrom=service@amazon.de smtp.helo=de-1886.d.ipeer.se
Received-SPF: fail (amazon.de: Sender is not authorized by default to use 'service@amazon.de' in 'mfrom' identity (mechanism '-all' matched)) receiver=mx3.messagingengine.com; identity=mailfrom; envelope-from="service@amazon.de"; helo=de-1886.d.ipeer.se; client-ip=213.180.72.12
Received: from de-1886.d.ipeer.se (de-1886.d.ipeer.se [213.180.72.12])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mx3.messagingengine.com (Postfix) with ESMTPS id 801EDC002A
for <XXX@xxx.fm>; Sat, 9 May 2015 07:35:34 -0400 (EDT)
Received: (qmail 29212 invoked from network); 9 May 2015 12:42:22 +0200
Received: from btour.securefastserver.com (HELO ?5.45.179.234?) (5.45.179.234)
by de-1886.d.ipeer.se with SMTP; 9 May 2015 12:42:18 +0200
Message-Id: <fp966AIgW6w705HJ7fMcLWsFeziflXeB3DKcdR612Bl0@amazon.de>
Mime-Version: 1.0
From: service@amazon.de
To: "XXX" <XXX@XXX.fm>
Subject: =?iso-8859-1?Q?XXX_XXX_aus_Sicherheitsgr=FCnden_ist_eine_Verifizierung_notwendig?=
Date: Sat, 9 May 2015 05:26:37 -0700
X-Bounce-Tracking-Info: <Sm9lcmcJU2VuZnRsZWJlbgkJbXljYXNla2luZ0BmYXN0bWFpbC5mbQlbRmlyc3RuYW1lXSBbU3VybmFtZV0gYXVzIFNpY2hlcmhlaXRzZ3LDvG5kZW4gaXN0IGVpbmUgVmVyaWZpemllcnVuZyBub3R3ZW5kaWcJMTkJCTEzMTU5Mwlib3VuY2UJbm8Jbm8=>
Content-type: multipart/alternative; Boundary="--=BOUNDARY_59526_LNYB_CDAW_GKND_GSUH"

This message is in MIME format. Since your mail reader does not understandthis format, some or all of this message may not be legible.
 
Zuletzt bearbeitet von einem Moderator:
Habe ebenfalls eine Mail erhalten an eine E-Mail Adresse, die ich nur noch bei wenigen Seiten (u.a. bei Caseking) verwende.

Muss also nicht zwingend an Caseking liegen, aber anscheinend gibt es ja ein Leck.
 
Hier ebenso sogar auf mehrere, teils vergessene Adressen da ich caseking( random zahlen und Buchstaben Kombination mit 8 stellen )@meinedomain.XX nutze. Ebenso mit richtigen Namen!

Da wurde caseking eindeutig gehackt oder es gibt ein Leck. Bin gespannt wie Caseking damit umgehen wird
 
Wie ist nun der Stand? Welche Daten sind geklaut worden? Bankverbindungen, Kreditkartendaten, etc. auch?
 
An wen muss ich mich eigentlich bei euch wenden, wenn ich mein Kundenkonto komplett löschen möchte?
 
Nun haltet mal die Füße still ;)

Ich kann verstehen, dass viele hier verunsichert sind, da es auch um sensible Daten geht. Ich selbst bin ja vermutlich auch betroffen.

Allerdings muss Caseking ja erstmal klären, wie das ganze passiert ist. Es muss ja nicht zwingend ein technisches Problem sein von daher ist die Aufklärung mit Sicherheit nicht einfach und kann nicht von heute auf morgen passieren.

Und bevor Caseking sich hier abschließend äußert muss halt zweifelsfrei geklärt sein, wie der Datenmissbrauch zustande gekommen ist.
 
Nur mal so für Euch zur Info: Ein Leck bei Caseking kann ich persönlich ausschließen, da mir zu Ohren gekommen ist, dass es auch viele weitere Unternehmen gibt, welche angeblich auch ein Leck haben sollen. Da hatte Kunden auch eine Alias Adresse angegeben und SPAM erhalten, die Frage ist halt nur woher dies gekommen ist. Seid Ihr eigentlich alle bei dem gleichen Hoster für Eure E-Mail Postfächer ?

@das.bo
Stell dich mal nicht so an! Hallo Leute finde ich persönlich besser als "Sehr geehrter Kunde ....". Den Scheiss kann ich schon nicht mehr lesen. Persönlich und auf den Punkt gebracht muss eine Reaktion erfolgen, und dies macht der Mike seit Monaten mit seinem Support auf LUXX vorzüglichst.

@all
Einfach abwarten. Ein Leck, falls dieses überhaupt bestehen sollte, muss erst gefunden werden und anschließend einer Prüfung unterzogen. Dies dauert nunmal seine Zeit!
 
Zuletzt bearbeitet:
Interessant ist doch, dass andere mit einer "normalen" Emailadresse keinen Spam erhalten haben. Jedenfalls ich nicht ;)
 
Ich sehe den Thread erst jetzt.
Ich habe die Mail auch bekommen und zwar an eine Adresse, die nicht caseking@domain.tld lautet, sondern ein bestimmter Bezeichner. “Caseking“ ist nicht enthalten. Das kann so nicht zufällig generiert worden sein.
Als Domain habe ich eine verwendet, an die sonst fast gar keine Mails gehen und die in keinem Online Shop eingetragen ist. Da ich die Bestellung nicht für mich aufgegeben habe, war auch nicht mein Klarname enthalten, sondern der des Kunden.
Der Mailserver ist meiner.

Für mich ist ganz klar, dass hier Daten geklaut wurden und nix zufällig generiert wurde
 
Zuletzt bearbeitet:
Ich sowie ein bekannter sind auch davon "betroffen"... Vielleicht hilfts ja weiter zu klären wer bei wem hostet?! Ich wüsste zwar nicht wie, aber ich fange trotzdem mal an.

Ich:

caseking@domain.tld - gehostet von Host Europe

Bekannter:

NachnameGebutsjahr@arcor.de - gehostet von Arcor
 
Zuletzt bearbeitet:
Klingt nach einem zweiten mindfactory ;) nur dass da alle threads zu dem Thema in deren forum abgeschmettert wurden...
 
Ich hab das ganze an meine Web.de mail auch gekriegt
 
Wie schon im anderen THread geschrieben:

Mike, bei so einer dubiosen Sache, solltet ihr euch mit einer Antwort keine 7 Tage Zeit lassen..

Wurdet ihr gehackt oder woher haben die "Phisher" die Daten, wenn NUR bei euch die MailAdressen verwendet wurden...
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh